Veille Juridique n°87 – septembre 2025. 

 

Cinq ans après le Brexit : état des lieux au Royaume-Uni.

Depuis la sortie du Royaume-Uni de l’Union européenne, le droit britannique de la protection des données s’éloigne lentement mais sûrement du cadre réglementaire européen.

S’il y a une tendance de part et d’autre de la Manche à opter pour une simplification des normes, le Royaume-Uni a un temps d’avance sur l’Union européenne.

Après le Brexit, le Data Protection Act de 2018 (DPA) a été modifié pour rester complémentaire au « UK GDPR », version britannique du RGPD entrée en vigueur le 1er janvier 2021.

Le Royaume-Uni a également adopté les Privacy and Electronic Communications Regulations (PECR), qui mettent en œuvre la directive européenne ePrivacy.

Le Data Use and Access Act (DUAA), adopté le 19 juin 2025, est une réforme majeure du régime britannique des données personnelles.

Il modifie et complète à la fois le UK GDPR, le DPA et les PECR, et représente un tournant stratégique par lequel le Royaume-Uni s’éloigne d’une vision centrée sur les droits fondamentaux pour adopter une logique plus pragmatique et pro-innovation.

Ses principaux objectifs sont de :

• Proposer une base légale élargie « d’intérêts légitimes reconnus » pour certains traitements dont l’archivage dans l’intérêt public, la sécurité publique ou la fiscalité,
• Donner la possibilité aux entreprises de suspendre le délai de réponse aux demandes d’accès,
• Simplifier les règles sur les cookies ;
• Faciliter les transferts internationaux de données ;
• Encourager l’innovation dans les services numériques et l’IA, en assouplissant le cadre des décisions automatisées ;
• Imposer le « privacy by design » dans les services numériques visant les enfants,
• Permettre la mise en place d’une identité numérique,
• Simplifier les règles concernant les services de police et le renseignement.

Certains pointent néanmoins les risques de ces réformes, et en particulier la fragilisation des droits des individus.

En matière de décisions automatisées, ils relèvent par exemple le fiasco des résultats d’examens « A level » de 2020, où des notes non pertinentes avaient été attribuées par un algorithme, et les erreurs dans des outils de détection de fraude du Department for Work and Pensions (DWP) ayant entraîné de nombreux préjudices pour les personnes concernées.

Le projet d’identité numérique, annoncé début octobre par le gouvernement, a quant à lui provoqué une levée de boucliers, avec la signature d’une pétition par des millions de citoyens britanniques demandant le retrait du projet.

Depuis quelques années le gouvernement britannique fait également pression pour mettre en place des mécanismes permettant l’accès aux contenus chiffrés des communications : la discussion publique se concentre sur des approches techniques controversées telles que le « client side scanning » (détection côté client).

Précisons que l’Union européenne discute actuellement d’un sujet apparenté : la proposition de règlement CSAR visant à prévenir et combattre les abus sexuels commis sur des enfants est à nouveau à l’ordre du jour du Conseil européen du 14 octobre.

Cette proposition qui prévoit la possibilité de scanner les communications sur le terminal de l’utilisateur avant leur envoi constitue aux yeux de nombreux scientifiques et de la société civile un projet à la fois inefficace et particulièrement dangereux pour les droits fondamentaux et le chiffrement lui-même.

L’Union européenne tend également, aujourd’hui, à simplifier le cadre normatif concernant les données via son « train de mesures omnibus sur le numérique ».

La Commission a lancé un appel à contribution qui se termine le 14 octobre, portant sur les domaines de la législation sur les données, y compris les règles relatives aux cookies et autres technologies de suivi, le signalement des incidents de cybersécurité ainsi que certains aspects de la loi sur l’intelligence artificielle.

En ce qui concerne plus précisément le RGPD, les sujets concernés visent par exemple la limitation de l’obligation de tenir un registre aux structures de plus de 500 salariés, contre 250 actuellement. L’Union européenne ne remet pas en question actuellement les principes essentiels du règlement.

De part et d’autre de la Manche, les bénéfices annoncés en faveur de l’industrie relèvent de la réduction des coûts de mise en conformité.

En revanche, les coûts de mise en œuvre de la réforme elle-même, les coûts des erreurs ou des litiges, les coûts pour la confiance   des consommateurs, sont moins bien connus. Cet argument a d’ailleurs été avancé lors du « dialogue de mise en œuvre » organisé par la Commission européenne mi-juillet. Le secteur privé a ainsi indiqué qu’il avait « investi dans la conformité et qu’une réouverture générale pourrait créer une incertitude, notamment dans le contexte des transferts internationaux de données ».

Aujourd’hui, le rapport bénéfices/risques des réformes britanniques et son impact sur les partenariats internationaux, et de façon plus décisive, sur le maintien de la décision d’adéquation du Royaume-Uni avec l’UE, restent encore incertains.

Le projet de décision d’adéquation de la Commission européenne est pourtant favorable à une reconnaissance du niveau de protection du Royaume-Uni.

Il doit toutefois être soumis à l’avis du Comité européen de protection des données et être discuté au Conseil.

Souhaitons que la décision finale soit particulièrement transparente quant aux critères pris en compte, compte tenu des modifications conséquentes du droit britannique.

Ceci apparaît essentiel pour assurer à l’avenir une sécurité juridique suffisante aux entreprises européennes comme à celles établies hors UE.

 

      

Le 18 septembre 2025, la CNIL a sanctionné la société Samaritaine SAS d’une amende de 100 000 euros pour avoir dissimulé des caméras dans les réserves du magasin du même nom.

Ces caméras prenaient l’apparence de détecteurs de fumées et permettaient d’enregistrer le son.

La CNIL a rappelé qu’un employeur peut installer des caméras dissimulées dans des circonstances exceptionnelles et à condition de ménager un juste équilibre entre l’objectif poursuivi (la protection des biens et des personnes) et la protection de la vie privée des salariés.

Un tel dispositif pourrait par exemple être autorisé à condition d’être temporaire et déployé après analyse documentée de sa compatibilité avec le RGPD et au regard de circonstances exceptionnelles.

Dans le cas présent, la société a bien rapporté l’existence de vols commis dans les réserves et expliqué que le dispositif était temporaire, mais elle n’a mené aucune analyse préalable de conformité au RGPD, ni documenté le caractère temporaire de l’installation.

La CNIL a également publié plusieurs contenus concernant la gestion des comptes inactifs pour les professionnels de l’audiovisuel et des jeux vidéo, sur les dispositifs de vidéos dans les établissements scolaires ainsi que sur la géolocalisation des enfants.

L’Assemblée nationale a adopté le 9 septembre en commission spéciale le projet de loi Résilience sur la cybersécurité. 

Philippe Latombe, président de la commission, a fait adopter un amendement visant à sanctuariser le chiffrement de bout en bout dans l’article 16 bis : « Il ne peut être imposé aux fournisseurs de services de chiffrement, y compris aux prestataires de services de confiance qualifiés, l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité des systèmes d’information et des communications électroniques tels que des clés de déchiffrement maîtresses ou tout autre mécanisme permettant un accès non consenti aux données protégées ».

Ce texte, qui transpose en droit français les directives européennes NIS2, DORA et REC, devrait entrainer une hausse significative du niveau général de cybersécurité.

 

Európske inštitúcie a orgány

Le 10 septembre, Ursula von der Leyen a prononcé un discours sur l’état de l’Union dans lequel elle a réaffirmé que l’Europe resterait souveraine dans la définition de ses propres règles et normes, repoussant ainsi les critiques transatlantiques.

Le même jour, 39 leaders et associations d’industriels européens ont signé la Déclaration européenne sur l’IA et la technologie, s’engageant à investir dans la souveraineté technologique de l’Europe.

Mme von der Leyen a réitéré les priorités clés de la stratégie de l’UE en matière d’IA, notamment le futur règlement sur le développement du cloud et de l’IA, l’initiative « Quantum Sandbox » et les investissements importants dans les « gigafactories » européennes d’IA.

Le futur règlement sur le développement du cloud et de l’IA pourrait inclure des mesures de souveraineté et de localisation des données alignées sur la future stratégie de l’Union en matière de données.

La présidente de la Commission a également souligné les objectifs de simplification de la réglementation européenne, mettant en avant les récentes propositions de réforme susceptibles d’avoir un impact sur la protection des données, telles que la réduction des obligations en matière de registre de données et la rationalisation des exigences en matière de signalement des incidents dans la législation numérique.

Enfin, elle a abordé la question de la sécurité des enfants en ligne, annonçant que la Commission solliciterait l’avis d’experts d’ici la fin de l’année, s’inspirant éventuellement de l’approche australienne en matière de restrictions sur les réseaux sociaux.

Le Règlement sur les données (Data Act) est entré en vigueur le 12 septembre 2025.

Ce texte donne aux utilisateurs de produits connectés (entreprises ou particuliers qui possèdent, louent ou louent à bail un tel produit) un plus grand contrôle sur les données qu’ils génèrent, tout en maintenant des incitations pour ceux qui investissent dans les technologies de données.

Il définit également les conditions générales applicables aux situations dans lesquelles une entreprise a l’obligation légale de partager des données avec une autre entreprise.

Le Comité européen de protection des données a publié des lignes directrices sur l’interaction entre le Règlement sur les services numériques et le RGPD, soumises à consultation publique jusqu’à fin octobre.

Le Tribunal de l’UE a condamné la Commission européenne à payer 50 000 € de dédommagement à une personne mise en cause dans un communiqué de presse du Bureau anti-fraude européen (OLAF).

Bien qu’aucun nom n’ait été mentionné dans le communiqué, des indices contextuels ont permis d’identifier le chercheur. L’affaire concernée, OC v Commission [C-479/22 P], avait été citée dans le récent recours EDPS c. SRB, qui suscite aujourd’hui de vives réactions concernant la portée du caractère identifiable des données à caractère personnel.

 

Správy z členských krajín Európskej únie.

En Allemagne, la Cour fédérale du travail a estimé qu’une entreprise avait illégalement transféré les données personnelles de son employé à sa société mère afin de tester un logiciel de gestion des ressources humaines.

Ce transfert ne pouvait être justifié par un intérêt légitime, car des données fictives auraient suffi. La cour a accordé à l’employé 200 € de dommages-intérêts pour préjudice moral.

En Autriche, un tribunal a estimé que le droit d’accès d’une personne concernée cesse à son décès et n’est pas transféré à un successeur légal. Le tribunal a ainsi annulé une décision de l’autorité de protection des données concernant une violation de droit d’accès après le décès de la personne concernée pendant la procédure d’appel.

L’organisation autrichienne de défense des droits des consommateurs VSV a lancé une action collective contre Meta en Autriche et en Allemagne, réclamant jusqu’à 5 000 euros de dommages et intérêts pour les personnes âgées de plus de 18 ans. Cette action concerne les outils professionnels de Meta, qui, selon VSV, sont utilisés à des fins de « surveillance illégale » de la vie privée des utilisateurs.

L’autorité de protection des données belge a infligé une amende de 9 700 € au propriétaire d’une maison d’étudiants pour avoir exploité illégalement un système de vidéosurveillance qui n’était pas nécessaire à la protection de la propriété ou au contrôle du respect du règlement intérieur et qui ne pouvait être fondé sur un intérêt légitime ou l’exécution du contrat de location.

L’APD espagnole a imposé une amende de 1 800 000 € à une entreprise ayant traité sans base légale les données à caractère personnel de travailleurs indépendants collectées par une autorité publique.

Elle a estimé que, si l’Agence espagnole des impôts (AEAT) était légalement habilitée à communiquer certaines données à la Chambre de commerce, le transfert ultérieur à l’entreprise Camerdata et l’utilisation de ces données à des fins commerciales et marketing ne reposaient sur aucune base juridique valable.

L’intérêt légitime invoqué par l’entreprise ne l’emportait pas sur les risques pour les droits et libertés des travailleurs dont les données avaient été divulguées.

En Estonie, la société pharmaceutique Allium UPI s’est vu infliger une amende de 3 000 000 € pour ne pas avoir mis en œuvre les mesures techniques et organisationnelles adéquates, telles que l’authentification multifactorielle, ce qui a entraîné une violation de données touchant 750 000 personnes, dont des enfants et des groupes vulnérables.

En Finlande, l’APD a sanctionné une banque (S-Pankki Oyj) à hauteur de 1 800 000 € pour ne pas avoir mis en œuvre des mesures techniques et organisationnelles suffisantes concernant une nouvelle fonctionnalité de connexion sur son application, ce qui a conduit à un accès non autorisé par ses clients aux comptes d’autres clients.

L’APD italienne a estimé que la cliente d’une entreprise avait le droit de révoquer son consentement à l’utilisation de son image dans la publicité de l’entreprise. Elle a précisé que le consentement pouvait être révoqué indépendamment des conséquences économiques négatives pour le responsable du traitement.

Avec un vote du Sénat le 17 septembre, l’Italie devient le premier pays européen à adopter une loi sur l’IA.

Après avoir défini le cadre des principes généraux, la loi accorde une attention particulière à des secteurs cruciaux tels que le travail, la santé et la justice.

Elle réglemente également l’utilisation de l’IA par les mineurs et prévoit des dispositions pénales.

L’APD néerlandaise mène actuellement une enquête en collaboration avec les APDs italienne, luxembourgeoise et hongroise sur la manière dont les téléviseurs connectés traitent les données à caractère personnel.

Le rapport constate notamment que les téléviseurs connectés envoient une quantité importante de données lors de leur installation, de leur utilisation quotidienne, lorsqu’ils sont en veille et même lorsqu’ils sont éteints, et qu’ils fonctionnent dans un écosystème Internet opaque impliquant différentes parties : fabricants, fournisseurs de systèmes d’exploitation, développeurs d’applications, etc.

Il souligne que les utilisateurs n’ont souvent pas d’autre choix que d’accepter les politiques de confidentialité et ont des difficultés à identifier les responsables du traitement.

Les applications préinstallées (parfois impossibles à supprimer) soulèvent des questions concernant la minimisation des données et les droits des utilisateurs.

Après le lancement d’Apertus IA, le chat open source suisse, un autre grand modèle d’apprentissage automatique open source soutenu par une institution publique en Europe est sorti, TildeOpen LLM.

Il s’agit d’un modèle linguistique fondamental conçu pour compenser les faiblesses des LLMs existants au regard des langues nordiques et est-européennes, celles-ci étant actuellement sous-représentées.

Ce modèle de 30 milliards de paramètres a été développé grâce à un financement de la Commission européenne et entraîné sur le supercalculateur LUMI.

Ces deux modèles ont annoncé se confirmer au règlement européen sur l’IA.

 

 

La 47e édition de l’assemblée générale de la protection de la vie privée, qui s’est tenue en septembre dernier à Séoul, a réaffirmé que la confidentialité et la sécurité des données sont des enjeux cruciaux auxquels le monde est confronté aujourd’hui.

L’événement annuel réunit les régulateurs ainsi que des entreprises et organisations du monde entier.

Vingt autorités de protection des données ont adopté à cette occasion une déclaration commune afin de construire un cadre de gouvernance fiable pour une IA digne de confiance.

Elles préconisent l’intégration des principes de protection des données dès la conception, la mise en place d’une gouvernance solide des données et l’anticipation de la gestion des risques.

La déclaration souligne également la complexité croissante du traitement des données dans ce contexte et souligne la diversité des acteurs impliqués, ainsi que la nécessité d’un cadre réglementaire adapté aux progrès technologiques.

Aux Etats-Unis, le « Shutodwn » a des conséquences non négligeables en matière de protection des données.

Certaines agences fédérales sont presque entièrement fermées, notamment la Commission fédérale du commerce (FTC), l’organisme principal chargé de faire respecter la confidentialité des données.

Au sein de la FTC, c’est le Bureau de la protection des consommateurs qui est le plus touché par les congés forcés.

Sauf dans les cas où les préjudices sont jugés extrêmement graves, les questions relatives à la protection des consommateurs seront suspendues, qu’il s’agisse d’enquêtes préliminaires, de procédures administratives ou de poursuites devant les tribunaux fédéraux.

Les utilisateurs américains de ChatGPT Plus, Pro et Free peuvent désormais acheter directement auprès de la plateforme de vente Etsy, et de nombreux autres vendeurs seront bientôt accessibles également.

Ceci implique, pour ChatGPT comme pour les autres systèmes d’IA agentique, que l’utilisateur donne accès à des tiers à ses informations personnelles, et en particulier bancaires, avec toutes les questions de vulnérabilité de données que cela suppose.